Cloudflare Gateway 隨時(shí)隨地為團(tuán)隊(duì)提供保護(hù)

2020 年 1 月，我們發(fā)布了 Cloudflare for Teams，這是一種在不犧牲性能的前提下保護(hù)組織及其遍布全球的員工的新方式。Cloudflare for Teams 內(nèi)含 Cloudflare Access 和 Cloudflare Gateway 這兩大和核心產(chǎn)品。

2020 年 3 月，Cloudflare 發(fā)布了 Cloudflare Gateway 的首個(gè)功能 —— 由全球最快 DNS 解析器提供支持的安全 DNS 過(guò)濾解決方案。Gateway 的 DNS 過(guò)濾功能通過(guò)阻止對(duì)可能涉及惡意軟件、網(wǎng)絡(luò)釣魚(yú)或勒索軟件等威脅的有害目的地的 DNS 查詢來(lái)確保用戶安全。組織只需更改辦公室中的路由器設(shè)置，便可確保整個(gè)團(tuán)隊(duì)的安全，用時(shí)只需大約五分鐘。

發(fā)布后不久，許多公司開(kāi)始全員撤離辦公室。用戶聯(lián)網(wǎng)上線的家庭辦公室原本是臨時(shí)使用，在過(guò)去幾個(gè)月中卻變?yōu)楣潭ㄞk公地點(diǎn)了。保護(hù)用戶和數(shù)據(jù)已從單一辦公室級(jí)設(shè)置，變成需要對(duì)成百上千個(gè)地點(diǎn)的用戶和設(shè)備進(jìn)行管理。

互聯(lián)網(wǎng)上的安全威脅也已發(fā)生改變。網(wǎng)絡(luò)釣魚(yú)活動(dòng)和惡意軟件攻擊在過(guò)去六個(gè)月里有所抬頭。而要檢測(cè)這些類(lèi)型的攻擊，需要更加深入的探究，不僅僅是 DNS 查詢。

我們很高興宣布，Cloudflare Gateway 如今包含能夠攻克這些新挑戰(zhàn)的兩項(xiàng)功能。首先，Cloudflare Gateway 與 Cloudflare WARP 桌面客戶端集成。我們的 WARP 圍繞 WireGuard 而構(gòu)建，這是一種新穎且高效的 VPN 協(xié)議，比傳統(tǒng) VPN 協(xié)議更加有效和靈活。

其次，Cloudflare Gateway 已變成一種安全 Web 網(wǎng)關(guān)并可執(zhí)行 L7 過(guò)濾，能夠檢查流量中隱匿的威脅。如同我們的 DNS 過(guò)濾和 1.1.1.1 解析器一樣，奠定這兩項(xiàng)功能的基礎(chǔ)是我們向全球數(shù)百萬(wàn)用戶提供 Cloudflare WARP 所得的一切收獲。

保護(hù)分布式勞動(dòng)力的安全

我們的客戶主要采用分布式勞動(dòng)力，員工分散在公司辦公室和自己的家中。鑒于疫情的關(guān)系，這將成為他們?cè)诙唐趦?nèi)的工作環(huán)境。

用戶不處于固定的已知位置（例外允許遠(yuǎn)程工作），這給已經(jīng)負(fù)擔(dān)繁重的 IT 人員帶來(lái)了挑戰(zhàn)：

1. VPN 采用全有或全無(wú)方法，提供對(duì)內(nèi)部應(yīng)用程序的遠(yuǎn)程訪問(wèn)。我們通過(guò) Cloudflare Access 和零信任方法來(lái)解決這個(gè)問(wèn)題，為內(nèi)部應(yīng)用程序以及現(xiàn)在的 SaaS 應(yīng)用程序提供安全保護(hù)。

2. VPN 不僅速度慢，成本又高。然而，將流量回傳到集中式安全邊界一直是實(shí)施企業(yè)內(nèi)容與安全策略以保護(hù)漫游用戶的主要方法。Cloudflare Gateway 因此誕生，為我們的客戶解決這一問(wèn)題。

直到今天，Cloudflare Gateway 一直通過(guò) DNS 過(guò)濾為我們的客戶提供安全性。盡管這在一定程度上提供了無(wú)關(guān)應(yīng)用程序的安全與內(nèi)容控制，但它依然給客戶留下了幾個(gè)難題：

1. 客戶需要注冊(cè)將 DNS 查詢發(fā)送到 Gateway 的所有位置的源 IP 地址，以便可以標(biāo)識(shí)其組織的流量以執(zhí)行策略。對(duì)于具有數(shù)百個(gè)地點(diǎn)的大型組織，即使算不上棘手，也一定乏味不堪。

2. DNS 策略相對(duì)粗糙，針對(duì)各個(gè)域采取全有或全方法來(lái)執(zhí)行。例如，組織缺乏相應(yīng)的能力，無(wú)法在允許訪問(wèn)云存儲(chǔ)提供商的同時(shí)，阻止從已知惡意 URL 下載有害文件。

3. 注冊(cè)了 IP 地址的組織頻繁使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）流量，在許多用戶之間共享公共 IP 地址。這會(huì)導(dǎo)致無(wú)法查閱個(gè)體用戶層面上的 DNS 活動(dòng)日志。雖然 IT 安全團(tuán)隊(duì)能夠發(fā)現(xiàn)惡意的域被阻止，但他們必須要使用額外的剖析工具才能跟蹤可能被入侵的設(shè)備。

從今天開(kāi)始，我們通過(guò)將 Cloudflare for Teams 客戶端與 L7 云防火墻相結(jié)合，使 Cloudflare Gateway 突破安全 DNS 過(guò)濾解決方案的局限?？蛻衄F(xiàn)在可以拋棄其集中式安全邊界內(nèi)的又一種硬件設(shè)備，直接從 Cloudflare 邊緣為其用戶提供企業(yè)級(jí)安全性。

保護(hù)用戶并防止企業(yè)數(shù)據(jù)丟失

由于所有應(yīng)用程序都利用 DNS 過(guò)濾進(jìn)行互聯(lián)網(wǎng)通信，因此 DNS 過(guò)濾為整個(gè)系統(tǒng)乃至網(wǎng)絡(luò)奠定安全性基礎(chǔ)。不過(guò)，細(xì)化的策略實(shí)施以及對(duì)流量是否應(yīng)歸類(lèi)為惡意的可見(jiàn)性是由特定于應(yīng)用程序的保護(hù)來(lái)提供的。

如今，我們能夠擴(kuò)展 DNS 過(guò)濾所提供的保護(hù)了，通過(guò)添加一個(gè) L7 防火墻，讓我們的客戶能夠?qū)踩院蛢?nèi)容策略應(yīng)用于 HTTP 流量。這不僅為管理員提供了一個(gè)更好的工具，借助 HTTP 會(huì)話內(nèi)細(xì)粒度控件來(lái)保護(hù)用戶，還賦予管理員對(duì)策略執(zhí)行的可見(jiàn)性。同樣重要的是，它也讓我們的客戶更有力地掌控其數(shù)據(jù)的駐留位置?？蛻艨梢酝ㄟ^(guò)制定策略，根據(jù)文件類(lèi)型、請(qǐng)求是上傳還是下載文件，或者目的地是否為組織的認(rèn)可云存儲(chǔ)提供商來(lái)指定是允許還是阻止請(qǐng)求。

通過(guò)利用 Cloudflare for Teams 客戶端連接到 Cloudflare，企業(yè)能夠保護(hù)其用戶的互聯(lián)網(wǎng)流量，不論這些用戶身處何方。此客戶端能讓用戶快速、安全地連接距離最近的 Cloudflare 數(shù)據(jù)中心，它的基礎(chǔ)是全球數(shù)百萬(wàn)用戶連接互聯(lián)網(wǎng)的同一 Cloudflare WARP 應(yīng)用程序。由于客戶端在本質(zhì)上使用了同一 WARP 應(yīng)用程序，企業(yè)可以確信它已經(jīng)過(guò)規(guī)?；瘻y(cè)試，能夠在不犧牲性能的同時(shí)提供安全性。Cloudflare WARP 通過(guò)利用 WireGuard 連接到 Cloudflare 邊緣，以優(yōu)化網(wǎng)絡(luò)性能。

因此，企業(yè)用戶能夠獲得既安全又性能高的連接，無(wú)論他們身在何處，也不需要將網(wǎng)絡(luò)流量回傳到集中式安全邊界。通過(guò)使用 Cloudflare for Teams 客戶端連接到 Cloudflare Gateway，對(duì)所有出站互聯(lián)網(wǎng)流量應(yīng)用過(guò)濾策略來(lái)保護(hù)企業(yè)用戶，從而在用戶瀏覽互聯(lián)網(wǎng)時(shí)保護(hù)他們并防止丟失公司數(shù)據(jù)。

Cloudflare Gateway 現(xiàn)在可基于包括如下在內(nèi)的各種條件來(lái)支持 HTTP 流量過(guò)濾：

若要補(bǔ)充 DNS 過(guò)濾策略，IT 管理員現(xiàn)在可以創(chuàng)建 L7 防火墻規(guī)則來(lái)對(duì) HTTP 流量應(yīng)用細(xì)化的策略。

例如，管理員可能想要允許用戶瀏覽 Reddit 的有用部分，但阻止不需要的部分。

或者，為了預(yù)防數(shù)據(jù)丟失，管理員可能會(huì)創(chuàng)建一條規(guī)則，允許用戶接收來(lái)自流行云存儲(chǔ)提供商的內(nèi)容，但禁止他們從企業(yè)設(shè)備上傳特定文件類(lèi)型。

另一名管理員可能想要防止惡意文件通過(guò) zip 文件下載潛入進(jìn)來(lái)，因而可能會(huì)決定通過(guò)配置規(guī)則來(lái)阻止下載壓縮文件類(lèi)型。

使用我們的 DNS 過(guò)濾類(lèi)別來(lái)保護(hù)內(nèi)部用戶之后，管理員可能想根據(jù)完整 URL 的分類(lèi)來(lái)簡(jiǎn)單地阻止安全威脅。惡意軟件有效載荷經(jīng)常從云存儲(chǔ)傳播，使用 DNS 過(guò)濾，時(shí)，管理員必須選擇是允許還是拒絕給定存儲(chǔ)提供商訪問(wèn)整個(gè)域。URL 過(guò)濾使管理員能夠過(guò)濾對(duì)惡意軟件有效載荷所駐留的確切 URL 的請(qǐng)求，以便客戶能夠繼續(xù)發(fā)揮所選存儲(chǔ)提供商的用處。

而且，由于 Cloudflare for Teams 客戶端可以實(shí)現(xiàn)所有這些功能，因此具有漫游客戶端的分布式工作者不論身在何處，都可以通過(guò)與距離最近的 Cloudflare 數(shù)據(jù)中心的安全連接來(lái)獲得這種保護(hù)。

通過(guò)檢查 HTTP 流量，我們能夠?yàn)闉g覽互聯(lián)網(wǎng)的團(tuán)隊(duì)提供保護(hù)，但是非 HTTP 流量呢？今年晚些時(shí)候，我們將通過(guò)使用 L4 云防火墻添加對(duì) IP、端口和協(xié)議過(guò)濾的支持來(lái)擴(kuò)展 Cloudflare Gateway。這樣，管理員可以將規(guī)則應(yīng)用到所有流向互聯(lián)網(wǎng)的流量，例如允許出站 SSH 的規(guī)則，或決定是否將到達(dá)非標(biāo)準(zhǔn)端口的 HTTP 流量發(fā)送到 L7 防火墻以進(jìn)行 HTTP 檢查的規(guī)則。

發(fā)布之后，Cloudflare Gateway 將允許管理員創(chuàng)建策略來(lái)過(guò)濾組織中所有用戶之間的 DNS 和 HTTP 通信。這為安全性奠定了良好的基礎(chǔ)。但是，凡事都有例外：一刀切的內(nèi)容與安全策略實(shí)施方法極少能滿足所有用戶的具體需求。

為解決這個(gè)問(wèn)題，我們正在努力將 Cloudflare Access 與客戶現(xiàn)有的身份提供商集成，以支持基于用戶和組身份的規(guī)則。這將使管理員能夠創(chuàng)建細(xì)化的規(guī)則，利用與用戶相關(guān)的上下文，例如：

• 拒絕所有用戶訪問(wèn)社交媒體。但是，如果 John Doe 是營(yíng)銷(xiāo)部門(mén)的成員，則被允許訪問(wèn)這些網(wǎng)站以履行其職責(zé)。

• 僅允許 Jane Doe 通過(guò) Cloudflare Gateway 連接到特定的 SaaS 應(yīng)用程序，或者僅允許某一種設(shè)備狀態(tài)。

由于用戶不會(huì)固定在已知的工作場(chǎng)所，基于身份的策略實(shí)施和日志可見(jiàn)性的需求與日俱增。我們通過(guò)使用 Cloudflare for Teams 客戶端集成身份識(shí)別并且隨時(shí)隨地保護(hù)用戶來(lái)滿足這種需求。

下一步

人們開(kāi)辦企業(yè)不是為了應(yīng)對(duì)信息技術(shù)和安全性的細(xì)枝末節(jié)。他們有著遠(yuǎn)大的理想，將自己的產(chǎn)品或服務(wù)推向全世界，我們希望能夠讓他們回到正軌為實(shí)現(xiàn)理想而奮斗。我們可以幫助消除與實(shí)施高級(jí)安全工具的難點(diǎn)，這些工具通常是為更大型、更復(fù)雜的組織而保留的，我們希望所有團(tuán)隊(duì)不論規(guī)模大小都可以使用它們。

Cloudflare for Teams 客戶端和 L7 防火墻的發(fā)布為先進(jìn)的安全 Web 網(wǎng)關(guān)奠定了基礎(chǔ)，它將集成防病毒掃描、CASB 和遠(yuǎn)程瀏覽器隔離等諸多功能，并且一切都在 Cloudflare 邊緣執(zhí)行。很高興分享這些信息，揭開(kāi)我們團(tuán)隊(duì)所建設(shè)未來(lái)的一角 —— 這條道路才剛剛起步。

立即開(kāi)始使用

這些新功能全部準(zhǔn)備就緒，馬上供您享用。L7 防火墻通過(guò)獨(dú)立版 Gateway、Teams Standard 和 Teams Enterprise 計(jì)劃提供。只需注冊(cè) Gateway 帳戶并完成入門(mén)培訓(xùn)，即可開(kāi)始使用。